Vidéosurveillance et systèmes de contrôle d’accès avec caméras IP : comment les relier tout en restant conforme au RGPD

Dans un environnement de vidéosurveillance CCTV et de contrôle d’accès, l’anonymisation des données visuelles consiste à préparer les photos et les enregistrements vidéo de manière à réduire, avant leur partage, la possibilité d’identifier les personnes et les véhicules visibles dans le contenu. En pratique, cela inclut le plus souvent le floutage des visages et le floutage des plaques d’immatriculation. Dans les intégrations liées aux points d’entrée, cette question est particulièrement importante, car une caméra IP fonctionne très souvent avec un lecteur de cartes, un portique, un registre des accès ou un système de gestion technique du bâtiment. À ce moment-là, une simple image captée à l’entrée cesse d’être uniquement une image et devient un élément d’un processus plus large de traitement de données à caractère personnel.

C’est précisément ce cas d’usage qui reste souvent insuffisamment documenté. La vidéosurveillance, en elle-même, est bien connue. Le contrôle d’accès également. Le problème apparaît lorsque l’organisation relie l’image à une information sur un événement d’accès, un numéro de passage, l’heure d’utilisation d’une carte ou une autorisation d’accès à une zone. Dans ce modèle, il faut distinguer trois questions : qui est le responsable du traitement, à quel moment apparaît le risque de traitement biométrique, et comment anonymiser le contenu avant de le transmettre au service de sécurité, à un auditeur ou à un tiers externe.

Qui est responsable du traitement lors de l’intégration du CCTV avec le contrôle d’accès ?

Dans un modèle classique, le responsable du traitement est l’entité qui détermine les finalités et les moyens de fonctionnement de l’ensemble de la solution, c’est-à-dire le plus souvent le propriétaire du site, l’employeur, l’exploitant d’une infrastructure ou une entité publique. Si une même entité décide à la fois de l’usage des caméras IP et du contrôle d’accès, elle reste généralement l’unique responsable du traitement pour les deux flux de données. Le fondement en est la définition générale du responsable du traitement figurant à l’article 4, point 7, du RGPD [1].

La situation est différente lorsque plusieurs entités déterminent conjointement les finalités et les moyens de l’intégration. C’est le cas, par exemple, d’un propriétaire d’immeuble de bureaux et d’un locataire qui définissent ensemble les règles de corrélation entre l’image et les accès à certaines zones. On peut alors être dans un schéma de responsabilité conjointe au sens de l’article 26 du RGPD [1]. En revanche, si une société de sécurité ou un fournisseur de système assure uniquement la maintenance de la solution sur instruction du client, son rôle sera plus souvent celui de sous-traitant que de responsable du traitement.

Pour la conformité en pratique, il est essentiel de ne pas assimiler automatiquement le responsable du traitement au simple fournisseur de caméras, de VMS ou à l’intégrateur. Le simple fait de fournir la technologie ne suffit pas à déterminer ce rôle. Ce qui compte, c’est l’influence réelle sur la finalité et les modalités du traitement. Il est donc utile de décrire séparément dans la documentation : qui gère la durée de conservation des enregistrements, qui décide de la corrélation entre l’image et les journaux d’accès, qui valide l’export du contenu et qui définit les règles de son anonymisation.

Pourquoi la mise en relation de l’image avec le registre des accès augmente-t-elle le risque ?

Un enregistrement d’un simple couloir peut être considéré comme un contenu CCTV standard. En revanche, l’image d’une caméra orientée vers un point d’entrée et synchronisée avec un lecteur de cartes offre une capacité bien plus grande d’identification et de profilage des comportements. L’organisation peut alors déterminer qui a tenté d’entrer, quand, dans quelle zone et si l’accès a été refusé. Il ne s’agit plus d’une simple visualisation des mouvements à l’entrée, mais d’un élément du processus de contrôle d’accès.

Du point de vue du RGPD, cela implique généralement la nécessité de définir avec plus de précision la finalité, la durée de conservation et le périmètre d’accès au contenu. Dans ses lignes directrices relatives au traitement des données par les dispositifs vidéo, l’EDPB souligne l’importance du principe de minimisation, de la limitation des finalités et de l’accès restreint aux images [2]. Cela concerne tout particulièrement les caméras couvrant les entrées, les accueils, les sas et les portiques.

Dans ce contexte, Gallio PRO est utile comme solution on-premise pour anonymiser les photos et les enregistrements avant leur export en dehors du système source. C’est particulièrement important lorsque le contenu issu des points d’entrée doit être transmis au service de sécurité, au département d’audit ou à un tiers externe. Du point de vue de la sécurité, un atout supplémentaire réside dans le fait que le logiciel n’enregistre pas de journaux contenant des données de détection ni des données à caractère personnel.

Quand un enregistrement d’entrée devient-il un traitement biométrique ?

Toute image de visage n’est pas une donnée biométrique au sens du RGPD. Conformément à l’article 4, point 14, du RGPD, les données biométriques sont des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, comme l’image du visage ou les données dactyloscopiques [1].

Cette distinction est très importante. Si la caméra enregistre simplement l’entrée et que l’image sert à vérifier ultérieurement un incident, il n’y a généralement pas encore traitement de données relevant d’une catégorie particulière. En revanche, si le système utilise une fonction de reconnaissance faciale pour confirmer automatiquement l’identité et autoriser l’ouverture du passage, le risque d’entrer dans le champ des données biométriques augmente très nettement. Dans ce cas, non seulement les principes généraux de l’article 5 du RGPD s’appliquent, mais aussi le régime de l’article 9 relatif aux catégories particulières de données [1].

En pratique, il est prudent d’adopter un test simple. Si un visage est seulement visible sur un enregistrement, cela ne signifie pas toujours biométrie. Si le visage fait l’objet d’un traitement technique spécifique afin de confirmer de manière univoque l’identité au moment de l’accès, les organisations considèrent souvent qu’il s’agit d’un traitement biométrique. L’évaluation finale dépend toutefois de l’architecture de la solution et de la finalité concrète du traitement.

Comment anonymiser les contenus issus des points d’entrée avant de les transmettre au service de sécurité ou à un auditeur ?

L’erreur la plus fréquente consiste à transmettre un export brut de la caméra d’entrée avec tout le contexte complet concernant des personnes tierces. Or, pour auditer un incident, il n’est généralement pas nécessaire de montrer tous les visages présents à l’accueil ou sur le parking. Dans de nombreux cas, il suffit de conserver l’image de l’événement tout en limitant l’identification des personnes non liées à l’incident.

Un modèle pratique se présente comme suit.

• Étape 1 : seul le segment d’enregistrement nécessaire pour expliquer l’événement est exporté.
• Étape 2 : un floutage des visages est appliqué aux personnes dont l’identification n’est pas nécessaire.
• Étape 3 : un floutage des plaques d’immatriculation est effectué si l’image couvre un parking, une barrière ou une voie d’accès.
• Étape 4 : ce n’est qu’ensuite que le contenu ainsi préparé est transmis à un destinataire externe ou interne disposant de droits limités.

Dans ce workflow, il faut clairement préciser le périmètre de l’automatisation. Gallio PRO floute automatiquement uniquement les visages et les plaques d’immatriculation. Le logiciel ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni les images affichées sur des écrans de contrôle. Ces éléments peuvent être masqués manuellement dans l’éditeur intégré, simple à utiliser. Le logiciel ne floute pas les silhouettes entières, n’effectue pas d’anonymisation en temps réel et n’anonymise pas les flux vidéo.

Pour les équipes techniques et les facility managers, cette distinction a une importance opérationnelle. La détection automatique couvre uniquement les visages et les plaques d’immatriculation, et non les données issues des cartes d’accès ni les identifiants provenant des lecteurs. Si le contenu montre, par exemple, un écran d’accueil avec une liste d’entrées ou une carte de salarié visible, une rédaction manuelle supplémentaire est nécessaire.

Après avoir défini ce flux de travail, il est utile de tester gratuitement l’outil sur un extrait réel exporté depuis un VMS ou un NVR afin de vérifier le niveau de rédaction nécessaire avant tout partage du contenu.

Visages et plaques d’immatriculation : ce qu’il faut généralement flouter

L’obligation d’anonymiser les visages ne découle pas automatiquement de tout traitement d’image d’une personne, mais, lors de la communication d’enregistrements à des tiers, les principes du RGPD plaident souvent en ce sens ; dans le contexte d’une publication, le droit civil ainsi que le droit d’auteur peuvent aussi entrer en jeu. Le droit d’auteur prévoit des exceptions à l’exigence de consentement pour la diffusion d’une image, notamment lorsque :

• il s’agit d’une personne connue du public et que l’image a été prise dans le cadre de l’exercice de fonctions publiques ;
• l’image ne constitue qu’un détail d’un ensemble tel qu’un rassemblement, un paysage ou une manifestation publique ;
• la personne a reçu la rémunération convenue pour poser, sauf réserve expresse contraire [4].

Dans l’environnement des accès aux bâtiments, ces exceptions s’appliquent plutôt rarement ; c’est pourquoi, en pratique, les entreprises adoptent généralement une approche prudente en matière de publication et de partage de contenus comportant des visages reconnaissables.

Pour les plaques d’immatriculation, la situation est plus complexe. Il n’existe pas de règle générale à l’échelle de l’Union européenne selon laquelle, dans les pays d’Europe occidentale, le floutage des plaques serait en principe obligatoire. L’évaluation dépend du contexte, de la finalité du traitement et du fait que, dans une situation donnée, la plaque permette ou non d’identifier une personne physique. En Pologne également, cette question n’est pas totalement tranchée, mais, dans la pratique de la protection des données, les plaques d’immatriculation sont souvent considérées au minimum comme des données susceptibles de conduire à l’identification d’une personne. C’est pourquoi, pour les contenus provenant de parkings, de portails et de barrières, le floutage préventif des plaques d’immatriculation reste une solution organisationnelle prudente.

Tableau : décisions typiques lors du partage d’enregistrements provenant des points d’entrée

Logiciel on-premise et intégration à l’infrastructure du bâtiment

Dans un environnement enterprise, ce n’est pas seulement le floutage de l’image qui compte, mais aussi le mode de déploiement. Un logiciel on-premise limite le risque de transfert non contrôlé des enregistrements hors de l’organisation et facilite le maintien du contenu dans une zone administrée par le responsable du traitement. Cela est particulièrement important lorsque les enregistrements proviennent de zones RH, de laboratoires, de salles serveurs, de zones à haute sécurité ou d’infrastructures critiques.

Pour les déploiements nécessitant une intégration avec un VMS existant, un référentiel d’incidents ou un circuit d’export non standard, il peut être utile de contacter l’équipe afin de définir un modèle de fonctionnement on-premise ou via API. Du point de vue du RGPD, il est particulièrement avantageux que l’outil ne collecte pas de journaux contenant des données de détection de visages et de plaques d’immatriculation, et n’enregistre pas non plus de journaux contenant des données à caractère personnel ni des données relevant de catégories particulières.

Comment décrire un processus conforme dans la politique interne et les procédures ?

Une bonne procédure ne devrait pas décrire l’anonymisation de manière vague. Au sein d’une organisation, il est généralement pertinent de préciser : la finalité de l’intégration du CCTV avec le contrôle d’accès, les rôles du responsable du traitement et du sous-traitant, la liste des destinataires autorisés des exports, la durée de conservation standard, les motifs d’export ainsi que la technique de rédaction de l’image avant partage. Il convient également de distinguer clairement le système source de l’outil servant à préparer une copie du contenu à des fins d’audit, de sécurité ou d’enquête interne.

En pratique, la conformité inclut souvent aussi un registre des cas dans lesquels un contenu a été communiqué après floutage des visages et des plaques. Il ne s’agit pas d’enregistrer des données de détection, mais de démontrer que l’organisation applique le principe de minimisation et ne communique que le volume d’images réellement nécessaire à une finalité donnée [1][2].

FAQ - vidéosurveillance et systèmes de contrôle d’accès avec caméras IP

Toute caméra placée à une entrée implique-t-elle un traitement biométrique ?

Non. Le simple enregistrement de visages à une entrée ne signifie pas nécessairement biométrie. Le risque augmente lorsque le système applique un traitement technique spécifique pour confirmer de manière univoque l’identité, par exemple grâce à la reconnaissance faciale lors de l’ouverture d’un passage [1].

Qui est responsable du traitement dans un système intégré de CCTV et de contrôle d’accès ?

En règle générale, il s’agit de l’entité qui détermine les finalités et les moyens de l’ensemble de la solution, le plus souvent le propriétaire du site, l’employeur ou l’exploitant d’une infrastructure. Le fournisseur de technologie ou la société de sécurité ne devient pas automatiquement responsable du traitement du seul fait qu’il exploite le système [1].

Faut-il toujours flouter les visages avant de transmettre un enregistrement au service de sécurité ?

Cela dépend de la finalité et de l’étendue du partage, mais il est fréquent, dans une démarche de conformité, de flouter les visages des personnes tierces lorsque leur identification n’est pas nécessaire à l’analyse de l’incident. Cette approche permet de mieux respecter le principe de minimisation [1][2].

Gallio PRO anonymise-t-il les images de caméras en direct ?

Non. Le logiciel n’effectue ni anonymisation en temps réel ni anonymisation de flux vidéo. Il sert à préparer des photos et des enregistrements avant leur communication ultérieure.

Que détecte automatiquement l’outil ?

La détection automatique couvre exclusivement les visages et les plaques d’immatriculation. Elle ne couvre pas les données issues des cartes d’accès ni les identifiants provenant des lecteurs. Les logos, tatouages, badges nominatifs, documents et images affichées sur des écrans nécessitent une intervention manuelle dans l’éditeur.

Faut-il toujours flouter les plaques d’immatriculation ?

Pas systématiquement. L’évaluation dépend du contexte, de la finalité du traitement et des modalités de partage du contenu. En Pologne comme dans d’autres États membres de l’UE, la pratique n’est pas totalement uniforme ; c’est pourquoi le floutage préventif des plaques constitue souvent la solution organisationnelle la plus sûre, notamment en cas de publication ou de diffusion large du contenu.

L’absence de journaux de détection est-elle importante pour la sécurité de l’intégration ?

Oui. Du point de vue de l’architecture de sécurité, c’est une caractéristique avantageuse, car elle limite la création de ressources supplémentaires contenant des informations sur les visages et les plaques détectés. Gallio PRO n’enregistre pas de tels journaux et ne collecte pas non plus de journaux contenant des données à caractère personnel ni des données relevant de catégories particulières.